Nelle prossime versioni di Google Chrome (56) e Mozilla Firefox (51), l’utente verrà avvertito ogni volta che sarà sul punto di inviare informazioni sensibili tramite una connessione HTTP invece che sulla (più) sicura HTTPS.
Questi avvertimenti sono già disponibili per le versioni Beta dei browser, ma con il rilascio della versione stabile potranno raggiungere un maggior numero di utenti.
In Firefox
In Firefox 51, rilasciato qualche giorno fa, Mozilla ha aggiunto un’icona di un lucchetto grigio segnato con una linea rossa per segnalare siti HTTP che richiedono all’utente la sua password. Precedentemente, il browser non mostrava nessuna icona in questi casi, mentre mostrava un lucchetto verde per connessioni HTTPS. Cliccando sul lucchetto, questo avverte l’utente che “I dati inseriti in questa pagina potrebbero essere compromessi”.
In Chrome
In Chrome 56, il cui rilascio è previsto nei prossimi giorni, l’avvertimento è molto più prominente e appare per siti HTTP che chiedono non solo informazioni per il login, ma anche dati della carta di credito. Come Mozilla, il browser di Google non segnava le connessioni HTTP come insicure nelle versioni precedenti.
Questa è la differenza con le precedenti versioni:
Come notato dall’ ingegnere Emily Schechter, esperto di sicurezza nel team di Chrome, i vecchi approcci non venivano sufficientemente notati dagli utenti. Lo scorso settembre, Schechter scriveva nel blog di Chrome che “Studies show that users do not perceive the lack of a “secure” icon as a warning, but also that users become blind to warnings that occur too frequently. [..] In following releases, we will continue to extend HTTP warnings, for example, by labelling HTTP pages as “not secure” in Incognito mode, where users may have higher expectations of privacy. Eventually, we plan to label all HTTP pages as non-secure, and change the HTTP security indicator to the red triangle that we use for broken HTTPS.”
In pratica un ottimo aggiornamento a favore degli utenti, e una (implicita) richiesta agli sviluppatori web di aggiornare i loro siti a usare una connessione HTTPS.